Robak Darlloz bierze na celownik urządzenia z wbudowanym Linuksem

W marcu tego roku opublikowanodokument pt. Internet Census 2012, podsumowujący stan infrastrukturySieci. Dokumentów takich każdego roku powstaje całkiem sporo, tenwyróżniał się jednak zastosowaną metodą badawczą: anonimowyautor raportu stworzył oprogramowanie, które przejmowało kontrolęnad znalezionymi w Sieci źle zabezpieczonymi urządzeniami z adresemIP, zamieniając je w węzły ogromnego (w końcowej fazie zarażonychzostało 420 tys. maszyn) botnetu, służącego do skanowaniaInternetu. W swoim raporcie badacz podkreślił, że choć udostępniakompletny zbiór pozyskanych w ten sposób danych (i faktycznie, natorrentach pojawiło się archiwum o „skromnych” rozmiarach 565GB), to nigdy nie udostępni samego botnetu, gdyż zbyt duże jestryzyko wykorzystania go przez cyberprzestępców. Cóż,cyberprzestępcy poradzili sobie i bez tego – w Sieci pojawił sięnowy robak, zainteresowany nie komputerami czy telefonami, alesprzętem, którego na co dzień nie zauważamy.O robaku, który otrzymał nazwę Linux.Darlloz, pierwsidonieśli badacze Symanteka. Kaoru Hayashi z tej firmy wyjaśnia,że szkodnik losowo generuje adresy IP, a następnie próbuje uzyskaćdostęp do konkretnych ścieżek na atakowanych maszynach,wykorzystując popularne kombinacje loginów i haseł, a gdy się touda, wysyła żądanie HTTP POST, by pobrać na urządzenie kodrobaka i uruchomić go, korzystając z dobrze znanego exploita w PHP,załatanego już półtora roku temu (wiele takich urządzeńkorzysta z PHP do „napędzania” ich webowego panelukonfiguracyjnego).[img=robak]Ale co po istnieniu łatki, skoro maszyny, którymi Darlloz sięinteresuje, to routery, dyski sieciowe, kamery telewizjiprzemysłowej, telewizyjne settop boksy, praktycznie wszystko, codziała pod kontrolą nigdy nie aktualizowanych wersji Linuksa.Firmware takiego sprzętu pozostaje bez zmian przez cały jego cyklżycia, czy to ze względów ekonomicznych (marża producenta jesttak mała, że nie opłaca się mu wydawać poprawek dooprogramowania), czy też ze względów technicznych (nowe wersjeoprogramowania mają zbyt duże wymagania, więc pozostaje się przystarych). Na drodze do rozpowszechnienia się robaka mogłaby staćrozmaitość architektur sprzętowych, wykorzystywanych w takichurządzeniach – niestety jednak jego twórcy przewidzieli tenproblem, i przygotowali cały zestaw binarek w formacie ELF,skompilowanych na różne procesory. Badacze Symanteca natrafili coprawda tylko na wersję atakującą systemy z procesorami x86, alejak twierdzi Hayashi, na swoich serwerach napastnicy utrzymują teżwersje dla architektur ARM, PPC, MIPS i MIPSEL. Przy niewielkichprzeróbkach, robak byłby więc w stanie infekować praktyczniewszystkie linuksowe urządzenia, wykorzystując w tym celu całyzbiór podatności, które na linuksowych desktopach i serwerach sąjuż od lat załatane.Symantec podkreśla, że jeśli nie możemy zaktualizowaćfirmware'u naszego urządzenia, to konieczne jest przynajmniejzmienienie jego domyślnych haseł, a także zablokowanie wywołańHTTP POST, które odnosiłyby się do interpretera PHP. Oczywiścienie ma co liczyć na to, że miliony posiadaczy tego typu urządzeńw ogóle będą wiedziały jak i po co to zrobić – dla typowegoużytkownika router czy settop box to przecież nie komputery, lecztylko takie sobie pudełeczka, działające praktycznieautomatycznie.